Introduzione alle Microsoft Entra per ID esterno per le app esterne

  • Articolo

Microsoft Entra per ID esterno offre una soluzione CIAM (Customer Identity and Access Management) per le app esterne. Per le organizzazioni e le aziende che vogliono rendere disponibili le applicazioni pubbliche ai clienti, Microsoft Entra ID semplifica l'aggiunta di funzionalità CIAM come la registrazione self-service, le esperienze di accesso personalizzate e la gestione degli account dei clienti. Poiché queste funzionalità CIAM sono integrate in Microsoft Entra ID, è possibile sfruttare anche le funzionalità della piattaforma quali sicurezza avanzata, conformità e scalabilità.

Diagramma che mostra una panoramica della gestione delle identità dei clienti e degli accessi.

Importante

Microsoft Entra per ID esterno per le app esterne è attualmente in anteprima. Vedere le Condizioni di licenza universali per i servizi online per le condizioni legali applicabili alle funzionalità e ai servizi di Azure disponibili in versione beta, in anteprima o non disponibili a livello generale.

Creare un tenant dedicato per gli scenari dei clienti

Quando si inizia a usare Microsoft Entra per ID esterno, si crea prima di tutto un tenant che conterrà le app, le risorse e la directory degli account dei clienti.

Se si ha familiarità con Microsoft Entra ID, si ha già familiarità con l'uso di un tenant di Microsoft Entra che contiene la directory dei dipendenti, le app interne e altre risorse dell'organizzazione. Con Microsoft Entra per ID esterno, si crea un tenant distinto che segue il modello di tenant Standard di Microsoft Entra, ma è configurato per gli scenari dei clienti. Questo tenant contiene:

  • Directory: la directory archivia le credenziali e i dati del profilo dei clienti. Quando un cliente si iscrive all'app, viene creato un account locale nel tenant esterno.

  • Registrazioni dell'applicazione: Microsoft Entra ID esegue la gestione delle identità e degli accessi solo per le applicazioni registrate. La registrazione dell'app stabilisce una relazione di trust e consente di integrare l'app con Microsoft Entra

  • Flussi utente: il tenant esterno contiene le esperienze di iscrizione, accesso e reimpostazione della password self-service abilitate per i clienti.

  • Estensioni: se è necessario aggiungere attributi utente e dati provenienti da sistemi esterni, è possibile creare estensioni di autenticazione personalizzate per i flussi utente.

  • Metodi di accesso: è possibile abilitare varie opzioni per l'accesso all'app, tra cui nome utente e password, passcode monouso e identità di Google o Facebook.

  • Chiavi di crittografia: aggiungere e gestire chiavi di crittografia per la firma e la convalida di token, segreti client, certificati e password.

Altre informazioni sull'accesso con password e passcode monouso e sulla federazione di Google e Facebook .

Esistono due tipi di account utente che è possibile gestire nel tenant esterno:

  • Account cliente: account che rappresentano i clienti che accedono alle applicazioni.

  • Account amministratore: gli utenti con account aziendali possono gestire le risorse di un tenant e, se hanno un ruolo di amministratore, possono anche gestire i tenant. Gli utenti con account aziendali possono creare nuovi account consumer, reimpostare le password, bloccare/sbloccare gli account e impostare le autorizzazioni o assegnare un account a un gruppo di sicurezza.

Altre informazioni sulla gestione degli account cliente e degli account amministratore nel tenant esterno.

Aggiungere l'accesso personalizzato alle app rivolte ai clienti

Microsoft Entra per ID esterno è destinato alle aziende che vogliono rendere disponibili ai clienti le applicazioni che usano la piattaforma Microsoft Entra per l'identità e l'accesso.

  • Aggiungere pagine di iscrizione e accesso alle app. Aggiungere rapidamente esperienze di iscrizione e accesso intuitive e descrittive per le app dei clienti. Con una singola identità, un cliente può accedere in modo sicuro a tutte le applicazioni che si voglia vengano usate dal cliente.

  • Aggiungere l'accesso Single Sign-On (SSO) con identità social e aziendali. I clienti possono scegliere un'identità social, aziendale o gestita per accedere con un nome utente e una password, un indirizzo di posta elettronica o un passcode monouso.

  • Aggiungere la personalizzazione dell'azienda alla pagina di iscrizione. Personalizzare l'aspetto delle esperienze di iscrizione e di accesso, comprese l'esperienza predefinita e l'esperienza per lingue del browser specifiche.

  • Personalizzare ed estendere facilmente i flussi di iscrizione. Personalizzare i flussi utente dell'identità in base alle proprie esigenze. Scegliere gli attributi che si vogliono raccogliere da un cliente durante l'iscrizione o aggiungere attributi personalizzati. Se le informazioni necessarie all'app sono contenute in un sistema esterno, creare estensioni di autenticazione personalizzate per raccogliere e aggiungere dati ai token di autenticazione.

  • Integrare più lingue e piattaforme dell'app. Con Microsoft Entra, è possibile configurare e distribuire rapidamente flussi di autenticazione sicuri e personalizzati per più tipi di app, piattaforme e lingue.

  • Usare l'autenticazione nativa per le app. Creare esperienze di autenticazione senza problemi per le applicazioni per dispositivi mobili e desktop rivolte ai clienti usando l'anteprima di Microsoft Authentication Library (MSAL) per iOS e Android.

  • Fornire la gestione degli account self-service. I clienti possono registrarsi da soli ai servizi online, gestire il proprio profilo, eliminare il proprio account, registrare un metodo di autenticazione a più fattori (MFA) o reimpostare la password senza assistenza dell'amministratore o dell'help desk.

  • Fornire il consenso alle condizioni per l'utilizzo e all'informativa sulla privacy. È possibile richiedere agli utenti di accettare i termini e le condizioni durante l'iscrizione. Usando gli attributi utente del cliente, è possibile aggiungere caselle di controllo al modulo di iscrizione e includere collegamenti alle condizioni per l'utilizzo e all'informativa sulla privacy.

Altre informazioni su aggiunta dell'accesso e dell'iscrizione all'app e sulla personalizzazione dell'aspetto dell'accesso.

Progettare i flussi utente per l'iscrizione self-service

È possibile creare un'esperienza di iscrizione e accesso semplice per i clienti aggiungendo un flusso utente all'applicazione. Il flusso utente definisce la serie di passaggi di iscrizione che i clienti seguono e i metodi di accesso che possono usare (ad esempio indirizzo di posta elettronica e password, passcode one-time o account social di Google o Facebook). È anche possibile raccogliere informazioni dai clienti durante l'iscrizione selezionando tra una serie di attributi utente predefiniti o aggiungendo attributi personalizzati.

Diverse impostazioni del flusso utente consentono di controllare il modo in cui il cliente si iscrive all'applicazione, tra cui:

  • Metodi di accesso e provider di identità social (Google o Facebook)
  • Attributi da raccogliere dal cliente che si iscrive, ad esempio nome, codice postale o paese/area geografica di residenza
  • Personalizzazione aziendale e della lingua

Per informazioni dettagliate sulla configurazione di un flusso utente, vedere Creare un flusso utente di iscrizione e accesso per i clienti.

Aggiungere la propria logica di business

Microsoft Entra per ID esterno è progettato per la flessibilità consentendo di definire azioni aggiuntive in determinati punti all'interno del flusso di autenticazione. Usando un'estensione di autenticazione personalizzata, è possibile aggiungere al token le richieste provenienti dai sistemi esterni prima che venga emesso per l'applicazione.

Altre informazioni su aggiunta di una logica di business personalizzata con estensioni di autenticazione personalizzate.

Sicurezza e affidabilità di Microsoft Entra

Microsoft Entra per ID esterno rappresenta la convergenza delle funzionalità business-to-consumer (B2C) nella piattaforma Microsoft Entra. È possibile sfruttare le funzionalità della piattaforma come la sicurezza avanzata, la conformità alle normative e la possibilità di ridimensionare i processi di gestione delle identità e degli accessi.

  • Sicurezza di Microsoft Entra. Ottenere tutti i vantaggi per la sicurezza e la privacy dei dati di Microsoft Entra, inclusi l'accesso condizionale, l'autenticazione a più fattori e la governance. Proteggere l'accesso alle app usando criteri di accesso adattivi basati su rischi e autenticazione avanzata. Poiché i clienti vengono gestiti in un tenant separato, è possibile personalizzare i criteri di accesso per gli utenti che in genere usano dispositivi personali e condivisi anziché quelli gestiti.

  • Affidabilità e scalabilità di Microsoft Entra. Creare esperienze di accesso altamente personalizzate e gestire gli account dei clienti su larga scala. Garantire un'esperienza dei clienti ottimale sfruttando prestazioni, resilienza, continuità aziendale, bassa latenza e velocità effettiva elevata di Microsoft Entra.

Altre informazioni sulle funzionalità di sicurezza e governance disponibili in un tenant esterno.

Analizzare l'attività e il coinvolgimento degli utenti

La funzionalità Attività utente applicazione (anteprima) in Utilizzo e informazioni dettagliate fornisce analisi dei dati sull'attività degli utenti e sull'impegno per le applicazioni registrate nel tenant. È possibile usare questa funzionalità per visualizzare, eseguire query e analizzare i dati delle attività degli utenti nell'interfaccia di amministrazione di Microsoft Entra. Ciò consente di scoprire informazioni preziose che possono aiutare a prendere decisioni strategiche e favorire la crescita aziendale.

Altre informazioni sui dashboard dell'attività utente dell'applicazione disponibili in un tenant esterno.

Informazioni su Azure AD B2C

Se sei un nuovo cliente, potresti chiederti quale soluzione è più adatta, Azure AD B2C o Microsoft Entra per ID esterno (anteprima). Scegliere il prodotto Azure AD B2C corrente se:

  • È necessario distribuire una compilazione pronta per la produzione per le app rivolte ai clienti.

    Nota

    Tenere presente che la piattaforma di Microsoft Entra per ID esterno di nuova generazione rappresenta il futuro di CIAM per Microsoft e l'innovazione rapida, nuove funzionalità e funzionalità saranno incentrate su questa piattaforma. Scegliendo la piattaforma di nuova generazione fin dall'inizio, si riceveranno i vantaggi di un'innovazione rapida e di un'architettura a prova di futuro.

Scegliere la piattaforma di Microsoft Entra per ID esterno di nuova generazione se:

  • Si stanno iniziando a creare nuove identità nelle app o nelle prime fasi dell'individuazione dei prodotti.
  • I vantaggi dell'innovazione rapida, delle nuove funzionalità e delle funzionalità sono una priorità.

Passaggi successivi